Comment fonctionne la connexion sans mot de passe — Un seul code couvre la connexion et la vérification WhatsApp

WALLAWHATS utilise un seul code à 6 chiffres à la fois pour la connexion et la vérification WhatsApp. Voici le fonctionnement, pourquoi c'est sécurisé, et comment cela se compare à l'authentification par mot de passe.

Nacho Collpar Mis à jour : 13 min de lecture
WALLAWHATS utilise un seul code à 6 chiffres à la fois pour la connexion et la vérification WhatsApp. Voici le fonctionnement, pourquoi c'est sécurisé, et comment cela se compare à l'authentification par mot de passe.

Chaque mot de passe que vous avez déjà créé est un petit passif qui dort dans une base de données quelque part — la vôtre ou celle de quelqu’un d’autre. Mots de passe réutilisés, mots de passe faibles, mots de passe hameçonnés : la plupart des piratages de comptes commencent encore par un identifiant volé, pas par une faille zero-day. WALLAWHATS évite toute cette catégorie de problèmes en n’ayant tout simplement pas de mots de passe. La connexion et la vérification WhatsApp reposent sur le même mécanisme : un code unique à 6 chiffres envoyé vers une destination que vous contrôlez.

Ce n’est pas qu’un raccourci d’expérience utilisateur. Cela signifie qu’au moment même où vous créez un compte, vous avez aussi prouvé que vous êtes bien propriétaire du numéro de téléphone ou de la boîte mail où atterriront, quelques secondes plus tard, les alertes concernant les publications X (Twitter).

Sign-in screen with email entry for the passwordless OTP flow

Ce que « sans mot de passe » signifie réellement ici

L’authentification sans mot de passe n’a rien de nouveau — les banques utilisent des codes par SMS depuis des années, et la plupart des gestionnaires de mots de passe vous poussent désormais vers les liens magiques. Ce qui distingue l’implémentation de WALLAWHATS, c’est que le même code à usage unique qui vous donne accès à votre compte vérifie aussi la destination qui recevra vos alertes. Il n’y a pas d’étape séparée du type « confirmez votre numéro de téléphone » planquée dans les paramètres après l’inscription. La propriété du canal et sa capacité à recevoir des messages sont établies en un seul geste.

Concrètement :

  1. Vous saisissez une adresse e-mail ou un numéro WhatsApp sur l’écran de connexion.
  2. WALLAWHATS génère un code numérique à 6 chiffres et l’envoie à cette destination.
  3. Vous ressaisissez ce code dans l’application, dans une courte fenêtre avant son expiration.
  4. En cas de succès, vous êtes connecté — et si la destination était un numéro de téléphone, il s’agit désormais d’un canal vérifié prêt à recevoir des alertes.

Aucun mot de passe à choisir, à retenir, à faire tourner, ou à voir fuiter. Aucun parcours « mot de passe oublié », puisqu’il n’y a jamais eu de mot de passe à oublier.

Les rouages : Cognito Custom Auth, pas une bibliothèque OTP greffée après coup

Sous le capot, tout repose sur le flux Custom Authentication d’AWS Cognito — pas un module OTP tiers greffé par-dessus un pool utilisateur/mot de passe traditionnel. Trois déclencheurs Lambda coopèrent pour faire fonctionner tout cela :

  • PreSignUp confirme automatiquement les nouveaux utilisateurs dès leur première tentative de connexion avec une destination encore jamais vue. Il n’existe pas de formulaire « créer un compte » séparé ; se connecter avec un e-mail ou un numéro nouveau est la création du compte.
  • CreateAuthChallenge génère le code à 6 chiffres, le persiste côté serveur avec une courte durée de vie (TTL), et l’envoie à la destination — via WhatsApp si vous avez saisi un numéro de téléphone, par e-mail sinon.
  • VerifyAuthChallengeResponse compare le code que vous avez saisi à celui qui a été émis, rejette les tentatives expirées ou incorrectes, et limite le taux des nouvelles tentatives.

Comme tout cela s’exécute dans la machine à états d’authentification gérée par Cognito, les garanties standard s’appliquent : les tokens ont une durée de vie courte, les flux de rafraîchissement sont gérés par la même infrastructure qui sécurise le reste de la plateforme, et il n’y a aucun code de gestion de session maison à auditer pour les bugs habituels (identifiants prévisibles, entropie insuffisante, absence de vérification d’expiration) qui plombent les implémentations artisanales du type « on leur envoie juste un code par e-mail ».

Pourquoi le même code remplit deux fonctions

La plupart des services traitent « prouvez qui vous êtes » et « prouvez que vous pouvez recevoir des messages ici » comme deux étapes distinctes — on s’inscrit avec un mot de passe, puis on vérifie séparément son numéro de téléphone pour les notifications. WALLAWHATS fusionne les deux, car pour un produit d’alertes, il s’agit de la même question posée deux fois.

Si WALLAWHATS doit livrer un message WhatsApp à un numéro, il doit connaître deux choses : que ce numéro est réel et joignable, et que la personne qui se connecte le contrôle réellement. Un code à 6 chiffres envoyé à ce numéro précis, puis ressaisi correctement, répond aux deux questions à la fois. Il n’existe aucun scénario où vous seriez « connecté » alors que votre destination WhatsApp reste non vérifiée, car la connexion était la vérification.

La même logique s’applique à l’e-mail. Connectez-vous avec une adresse e-mail, recevez-y un code, ressaisissez-le — vous voilà connecté, et cette boîte mail devient une destination confirmée pour les alertes par e-mail (lesquelles, sur tous les plans, incluent une capture rendue de chaque tweet en plus du texte).

Pourquoi c’est plus sécurisé qu’il n’y paraît

L’authentification sans mot de passe donne l’impression qu’elle devrait être moins sécurisée — pas de mot de passe, pas de coffre-fort. En pratique, elle ferme plusieurs des portes d’entrée les plus courantes par lesquelles les comptes réels se font compromettre :

  • Pas de credential stuffing. Il n’y a aucun mot de passe réutilisé issu d’un site piraté qu’un attaquant pourrait tester contre votre connexion WALLAWHATS, puisqu’il n’y a tout simplement aucun mot de passe à voler.
  • Aucune surface d’attaque liée à la réinitialisation. Une grande partie des piratages de comptes passe par le parcours « mot de passe oublié » — un attaquant qui contrôle votre boîte mail réinitialise vos mots de passe partout. Supprimer les mots de passe supprime entièrement ce parcours.
  • Fondé sur la possession, pas sur la mémoire. Le code prouve que vous avez accès au téléphone ou à la boîte mail à cet instant précis, pas que vous avez mémorisé (ou noté, ou réutilisé) un secret il y a des mois.
  • Éphémère et à usage unique. Les codes expirent rapidement et sont invalidés après une utilisation réussie, contrairement à un mot de passe qui reste valide jusqu’à ce que vous le changiez vous-même.

La contrepartie, c’est que la livraison via WhatsApp ou e-mail fait désormais partie du chemin critique de connexion — si vous perdez l’accès aux deux, la récupération de compte suit le même modèle de destination vérifiée, plutôt qu’un filet de sécurité à base de « questions de sécurité », qui a historiquement été le maillon le plus faible des systèmes basés sur un mot de passe.

Comparaison avec un mot de passe traditionnel + une vérification OTP séparée

Un parcours classique ressemble à ceci : choisir un mot de passe, confirmer son e-mail via un lien séparé, puis, plus tard, aller dans les paramètres pour vérifier un numéro de téléphone en vue des notifications SMS ou push. Cela fait trois points de preuve distincts, trois endroits distincts où les choses peuvent devenir obsolètes — un numéro de téléphone non vérifié qui traîne dans le compte pendant des semaines, un mot de passe identique à celui utilisé sur quatre autres services, un lien de confirmation d’e-mail expiré avant que quiconque ne clique dessus.

WALLAWHATS réduit tout cela à un seul point de preuve par destination. Ajoutez un numéro WhatsApp, et le code que vous recevez pour le vérifier est le même qui vous connectera désormais sur cet appareil. Il n’y a aucun état « non vérifié » qui traîne, car le compte et la destination atteignent l’état « vérifié » ensemble.

Cela signifie aussi que changer ou ajouter une destination revient simplement à… se connecter avec une nouvelle. Vous voulez ajouter un second numéro vérifié avec un plan Business ou Enterprise ? Saisissez-le, recevez le code, confirmez-le. Pas de formulaire « ajouter un numéro de téléphone » séparé, enterré trois menus plus loin.

Mise en place : ce que vous allez réellement voir

Sur wallawhats.com/signup, on ne vous demande qu’une seule chose : une adresse e-mail ou un numéro WhatsApp. C’est tout le formulaire.

  • Saisissez un numéro WhatsApp, et le code arrive sous forme de message WhatsApp en quelques secondes — le même canal qui portera plus tard vos alertes X.
  • Saisissez un e-mail, et le code atterrit dans votre boîte de réception — utile si vous voulez vous connecter depuis un appareil partagé ou professionnel sans toucher à votre WhatsApp personnel, ou si vous configurez l’e-mail comme canal d’alerte.

Dans les deux cas, un écran vous demande le code à 6 chiffres, vous le saisissez, et vous voilà sur le tableau de bord. À partir de là, vous pouvez ajouter un second canal (disons, un numéro WhatsApp après vous être inscrit par e-mail, ou l’inverse) à tout moment depuis la page Canaux — chaque nouvelle destination passe par la même vérification à code unique avant de pouvoir recevoir des alertes. Si vous hésitez sur le type de numéro WhatsApp à utiliser pour cela, notre guide numéro Business vs Personnel détaille les compromis.

Il n’existe aucun paramètre de compte où un numéro de téléphone resterait « ajouté mais non vérifié ». Chaque destination a soit passé son propre défi de code, soit n’est tout simplement pas rattachée à votre compte.

Ce que ce système n’est pas

Pour être précis sur le modèle de sécurité : il s’agit d’une authentification par code à usage unique sur des canaux auxquels vous faites déjà confiance (WhatsApp, e-mail), et non d’une authentification multifacteur au sens traditionnel de « mot de passe plus un second facteur ». La différence est significative. Le MFA traditionnel ajoute une seconde preuve indépendante par-dessus un mot de passe. Le modèle de WALLAWHATS remplace le mot de passe par la possession d’un canal de communication — ce qui constitue un compromis de risque différent, pas nécessairement plus solide dans toutes les dimensions. C’est le bon compromis pour un service de notifications, où tout l’intérêt est que vous avez de toute façon déjà besoin d’une destination vérifiée pour utiliser le produit ; réutiliser cette étape de vérification pour la connexion réduit la friction sans supprimer une couche de sécurité significative, puisqu’il n’y avait pas de couche basée sur un mot de passe au départ.

Si vous hésitez entre les canaux, à la fois pour la connexion et pour les alertes, notre comparatif e-mail vs WhatsApp détaille les compromis de rapidité de livraison et de taux de lecture qui s’appliquent aussi aux codes de connexion — un code WhatsApp que vous remarquerez en quelques secondes ; un code par e-mail doit rivaliser avec le reste de votre boîte de réception.

Pourquoi c’est particulièrement important pour un produit d’alertes

Pour un produit dont toute la mission est de « livrer de manière fiable un message à une destination que vous avez choisie », l’identité et la destination ne peuvent pas se désynchroniser. Si la connexion et la vérification du canal étaient des systèmes séparés, vous pourriez vous retrouver connecté à un compte dont le numéro WhatsApp, ajouté des années plus tôt, aurait entre-temps été réattribué à quelqu’un d’autre par l’opérateur, sans jamais avoir été reconfirmé. Le fait de lier la connexion à un code frais envoyé directement à la destination élimine ce risque par construction — vous ne pouvez pas être connecté via un canal actuellement injoignable, puisque c’est précisément cette joignabilité qui vous a permis de vous connecter.

Cela signifie aussi que la récupération de compte ne nécessite pas de ticket support dans le cas courant. Vous avez perdu votre téléphone ? Connectez-vous plutôt avec votre e-mail — même parcours, même code à usage unique, et votre destination WhatsApp (une fois revérifiée sur un nouvel appareil) reprend exactement là où elle s’était arrêtée.

Que se passe-t-il quand un code n’arrive pas

Tout système qui délègue la livraison à un réseau tiers — un opérateur, l’infrastructure propre de WhatsApp, un fournisseur d’e-mail — doit composer avec le fait que le code ne s’affiche pas toujours instantanément. Voici quelques précisions concrètes sur la façon dont c’est géré :

  • L’expiration est courte, et c’est voulu. Un code valable pendant des heures constitue une cible bien plus intéressante qu’un code valable quelques minutes. Si le vôtre expire avant que vous ne le saisissiez, en demander un nouveau invalide immédiatement l’ancien.
  • Renvoyer, pas ressaisir. Si un message WhatsApp est retardé de quelques secondes (normal aux heures de pointe) ou qu’un e-mail atterrit dans le dossier spam, l’écran de connexion propose une action de renvoi plutôt que de vous faire attendre indéfiniment la première tentative.
  • La limitation de fréquence protège les deux parties. Les demandes de code répétées vers la même destination sont limitées. Ce n’est pas seulement une mesure anti-abus pour WALLAWHATS — cela évite aussi qu’un seul compte ne surcharge accidentellement les systèmes de livraison de WhatsApp ou d’un fournisseur d’e-mail si quelque chose en amont est retenté de manière agressive.
  • Changez de canal si l’un d’eux est injoignable. Si votre téléphone n’a pas de réseau mais que vous êtes devant votre ordinateur, connectez-vous plutôt par e-mail — c’est un chemin totalement indépendant vers le même compte, pas une solution de repli qui dépend de l’échec préalable de la tentative WhatsApp.

Rien de tout cela n’est propre à WALLAWHATS ; c’est la même réalité opérationnelle à laquelle tout système basé sur des codes OTP doit faire face. La différence, c’est que puisque le code est aussi votre vérification de canal, une connexion réussie vous confirme que votre destination d’alerte est actuellement active — ce qu’un mot de passe n’aurait jamais pu faire.

Questions fréquentes

Puis-je utiliser à la fois WhatsApp et l’e-mail pour me connecter ? Oui. Chacun est vérifié indépendamment la première fois que vous l’utilisez, et l’un ou l’autre vous donne ensuite accès au même compte.

Un nouveau code invalide-t-il mon canal WhatsApp si je ne termine pas ma connexion ? Non. Une tentative de connexion inachevée ou expirée n’affecte pas un canal déjà vérifié — cela ne compte que pour la vérification d’une nouvelle destination, la première fois.

Et si je veux changer de numéro de téléphone plus tard ? Ajoutez le nouveau numéro comme canal depuis la page Canaux ; il passera par son propre code à usage unique avant de pouvoir recevoir des alertes. Votre ancien numéro reste intact jusqu’à ce que vous le supprimiez.

Est-ce la même chose que l’authentification à deux facteurs par SMS ? Pas tout à fait. Le 2FA par SMS traditionnel est un second facteur ajouté par-dessus un mot de passe. Ici, le code est l’intégralité du mécanisme d’authentification — il n’y a pas de mot de passe sous-jacent auquel ajouter un second facteur.

Pour commencer

La connexion sans mot de passe n’est pas une fonctionnalité séparée à configurer — c’est tout simplement la façon dont fonctionne la connexion à WALLAWHATS, sur tous les plans à partir de Free. Si vous n’avez pas encore configuré d’alertes, le tutoriel de notre guide de démarrage couvre tout le chemin, de la première connexion à votre première alerte WhatsApp.

Ne manquez plus jamais une publication importante. Créez un compte gratuit — 1 numéro WhatsApp, des alertes en temps réel, sans carte bancaire requise.

Nacho Coll

À propos de l'auteur

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Retour au Blog

Articles Connexes

Voir Tous les Articles »